Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de etiquetas con políticas de IAM
Puede aplicar permisos de nivel de recurso basados en etiquetas en las políticas de IAM que utiliza con las acciones de la API de AWS IoT
. Esto le ofrece un mejor control sobre los recursos que un usuario puede crear, modificar o utilizar. Puede utilizar el elemento Condition (también llamado bloque Condition) junto con las siguientes claves contextuales de condición y valores en una política de IAM para controlar el acceso del usuario (permiso) en función de las etiquetas de un usuario:
-
Utilice
aws:ResourceTag/para permitir o denegar acciones de los usuarios en recursos con etiquetas específicas.tag-key:tag-value -
Utilice
aws:RequestTag/para exigir (o impedir) el uso de una etiqueta específica al realizar una solicitud de API para crear o modificar un recurso que permita etiquetas.tag-key:tag-value -
Utilice
aws:TagKeys: [para exigir (o impedir) el uso de un conjunto de claves de etiquetas al realizar una solicitud de API para crear o modificar un recurso que permita etiquetas.tag-key, ...]
nota
Las condiciones, las claves y los valores contextuales de una política de IAM solo se aplican a aquellas AWS IoT acciones en las que el identificador de un recurso que se pueda etiquetar es un parámetro obligatorio. Por ejemplo, no DescribeEndpointse permite ni se deniega el uso de debido a las claves y valores del contexto de la condición, ya que en esta solicitud no se hace referencia a ningún recurso etiquetable (grupos de cosas, tipos de cosas, reglas temáticas, trabajos o perfiles de seguridad). Para obtener más información sobre AWS IoT los recursos que se pueden etiquetar y las claves de condición que admiten, consulte Acciones, recursos y claves de condición. AWS IoT
Para obtener más información sobre el uso de etiquetas, consulte Control de acceso a los recursos de AWS mediante etiquetas, en la Guía del usuario de AWS Identity and Access Management . La sección de referencia de políticas JSON de IAM de esta guía incluye sintaxis, descripciones y ejemplos detallados de los elementos, variables y lógica de evaluación de las políticas JSON de IAM.
La siguiente política de ejemplo aplica dos restricciones basadas en etiquetas para las acciones de ThingGroup. Un usuario de IAM restringido por esta política:
-
No se le puede dar a un grupo de objetos la etiqueta “env=prod” (en el ejemplo, consulte la línea
"aws:RequestTag/env" : "prod"). -
No se puede modificar un grupo de objetos que tenga la etiqueta “env=prod”, y tampoco se puede acceder a dicho grupo (en el ejemplo, consulte la línea
"aws:ResourceTag/env" : "prod").
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "iot:CreateThingGroup", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/env": "prod" } } }, { "Effect": "Deny", "Action": [ "iot:CreateThingGroup", "iot:DeleteThingGroup", "iot:DescribeThingGroup", "iot:UpdateThingGroup" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/env": "prod" } } }, { "Effect": "Allow", "Action": [ "iot:CreateThingGroup", "iot:DeleteThingGroup", "iot:DescribeThingGroup", "iot:UpdateThingGroup" ], "Resource": "*" } ] }
También puede especificar varios valores de etiqueta para una determinada clave de etiqueta encerrándola en una lista, tal y como se muestra a continuación:
"StringEquals" : { "aws:ResourceTag/env" : ["dev", "test"] }
nota
Si permite o deniega a los usuarios acceso a recursos en función de etiquetas, debe considerar denegar explícitamente a los usuarios la posibilidad de agregar estas etiquetas o retirarlas de los mismos recursos. De lo contrario, es posible que un usuario eluda sus restricciones y obtenga acceso a un recurso modificando sus etiquetas.
